La Agencia Española de Protección de Datos (AEPD) ha venido informando y dando a conocer su criterio sobre el uso de sistemas de registro horario mediante el tratamiento de datos biométricos, como la huella dactilar, mediante la publicación de distintas resoluciones sancionadoras que, más o menos acertadamente, establecen los requisitos para el uso de estos sistemas. Parece que el criterio mantenido hasta el momento ser verá abocado a ser modificado, y de ahí la actualización de la presente nota, debido a la carencia de una base legal apropiada para el tratamiento de los datos biométricos para la indicada finalidad, algo que era obvio, pero que algunas autoridades de control han pasado por alto, quizá, para dar cabida a la acelerada adopción de estos sistemas para realizar el registro de jornada.
¿Qué son los datos biométricos?
El art. 4 (14) del RGPD define como datos biométricos aquellos “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Asimismo, el considerando 51 establece, respecto de las imágenes, su exclusión de la categoría de datos biométricos, salvo que las mismas “sean tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física”.
La biometría, se refiere por tanto al análisis de una serie de características distintivas de cada persona, en el sentido de ser características únicas, intransferibles, inolvidables y que, en principio, serán inalterables a lo largo del tiempo, por lo que un tratamiento inadecuado de datos biométricos puede tener consecuencias desfavorables importantes sobre el interesado.
¿Cuándo, los datos biométricos, se califican como datos de categoría especial?
El art. 9.1 del RGPD establece la prohibición general de tratar datos personales de categoría especial entre los que se encuentran los “datos biométricos dirigidos a identificar de manera unívoca a una persona física”.
Teniendo en cuenta lo anterior, el criterio de la AEPD es, pues por el momento se mantiene, que únicamente tendrán la consideración de datos de categoría especial en “los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).»
Se constata, por tanto, que la autoridad de control diferencia entre dos tipos de tratamiento, los dirigidos a verificar o autenticar una persona física y los dirigidos a identificar a una persona física entre varias y, únicamente en este caso, para la AEPD, los datos biométricos tendrían la categoría de dato de categoría especial y, consiguientemente, para proceder a su tratamiento, debería concurrir una de las excepciones previstas en el art. 9.2 RGPD. La diferencia entre uno y otro tratamiento se ve mucho más clara en la siguiente imagen:
Como vemos, la VERIFICACIÓN (o búsqueda uno a uno) compara una imagen con otra imagen del mismo individuo. Por ejemplo, para verificar la identidad de una persona que intenta desbloquear un smartphone, en cambio la IDENTIFICACIÓN (o búsqueda de uno a varios) compara una imagen de un solo individuo con una galería de imágenes de varios individuos para determinar si existe coincidencia potencial y, por tanto, habrá que verificar la posible aplicación de alguna de las excepciones previstas en el art. 9.2 RGPD para levantar prohibición.
Como decíamos, este es el criterio de la AEPD a los efectos de considerar un dato biométrico como dato de categoría especial (lo que entiende, ocurre, únicamente en el caso de la identificación), no obstante, este criterio no es compartido, por ejemplo, por la Autoridad Catalana de Protección de Datos (Dictamen 21/2020) que entiende que el tratamiento de datos biométricos, tanto destinados a la identificación como a la autenticación, en todo caso va a ser considerado un tratamiento de datos personales de categoría especial del art. 9.1 RGPD y para lo que habrá que contar con una base de legitimación “adicional” de las previstas en el art. 9.2 RGPD si es que existe para el supuesto concreto.
Otra de las resoluciones recientes de la APDCAT es la del procedimiento sancionador PS 41/2022, en que se sanciona con 20.000.-€ a la OUC por utilizar sistemas de reconocimiento facial en la realización de pruebas online de los alumnos. La APDCAT reitera su criterio y establece que tanto para los supuestos de autenticación como identificación los datos biométricos son de categoría especial puesto que van dirigidos a identificar de manera única al individuo y, consiguientemente, debe levantarse la prohibición del 9.1 RGPD.
El criterio de la APDCAT es que con la identificación se pretende determinar la identidad de una persona (¿quién es?), mientras que con la autenticación se pretender confirmar o desmentir la identidad (¿es quien dice ser?), no obstante, esto último requeriría previamente un proceso de identificación de dicha persona, por lo que cuando el art. 9.1 RGPD se refiere a la “identificación unívoca de una persona” se está refiriendo también a la autenticación de la identidad. En este sentido la la Commission Nationale de l’informatique et des libertés (CNIL) en la Délibération n° 2019-001 du 10 janvier 2019 o el Garante per la protezione dei dati personali (doc. web núm. 9051774 o doc. web núm. 9147290).
¿Cuál es la base de legitimación para proceder al tratamiento de datos biométricos para el registro horario?
A los efectos de realizar el tratamiento de datos biométricos para la llevanza del registro de jornada es necesario contar, además de con una de las bases de legitimación establecidas en art. 6.1 RGPD, con una de las excepciones previstas en el art. 9.2. La AEPD ha venido estableciendo en sus últimas resoluciones (PS/00127/2020 o PS/00128/2020), como base de legitimación idónea para el tratamiento de datos biométricos con la finalidad de llevanza del registro de jornada, además de la establecida en el art. 6.1 b) la establecida en el art. 9.2 b), esto es:
“el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”.
No obstante, no existe Ley que autorice la realización del registro mediante datos biométricos, por lo que la excepción del 9.2 b) RGPD deviene inaplicable, salvo que dicha obligación constase, en su caso, en un convenio colectivo, como ya indicó la APDCAT en el Dictamen CNS 2/2022.
Pero ojo, la AEPD en el PS 00218/2021, parece que, de manera incipiente, empieza a modificar su criterio respecto al tratamiento de datos biométricos para esta finalidad al sancionar al Responsable (con apercibimiento) por establecimiento de un sistema de reconocimiento facial para el registro de jornada, indicando expresamente (por fin) que necesidad de realizar el registro de jornada «sólo alcanza a la obligación de realizarla, pero NO A REALIZARLA UTILIZANDO DATOS BIOMÉTRICOS y su uso, sin causa de excepción para el tratamiento, supone la infracción del artículo 9.2.b) del RGPD», por tanto, se carece de base legal para ello.
No obstante, la AEPD indicó en uno de sus últimos informes que su criterio vendría finalmente determinado por lo que estableciera el EDPB en sus “Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement». Pues bien, las mismas ya tienen carácter definitivo y han establecido que:
Si antes decíamos que, según el criterio de la AEPD, únicamente cabría el tratamiento de datos biométricos para el registro de jornada si los mismos no se consideraban de categoría especial y se utilizaba, por tanto, únicamente, una de las bases de legitimación de las previstas en el art. 6.1, realizando, eso sí, un tratamiento dirigido a la autenticación (“uno a uno” y en ningún caso “uno a varios”), ahora ello, como ya indicaba la APDCAT, tampoco sería posible al considerarse, si así se afianza, un dato de categoría especial.
Riesgos a tener en cuenta, en su caso, para realizar una EIPD
Si bien parece que la AEPD empieza a modificar su criterio a partir de la indicada resolución (PS 00218/2021), en la misma también se indican una serie de riesgos a tener en cuenta en la realización de la Evaluación de Impacto por parte del Responsable (en ese caso venia referido a un sistema de RF), esto es:
- La cantidad de información de la plantilla biométrica no debe ser ni demasiado pequeña (mayor seguridad) ni demasiado grande (menos riesgos de reconstrucción).
- La centralización de las bases de datos aumenta el riesgo para los interesados, por contra, el almacenamiento de datos biométricos en tarjetas o en dispositivos en posesión del usuario reduce los riesgos.
- La pérdida de la integridad, confidencialidad o disponibilidad de datos biométricos podría causar un grave perjuicio para el interesado al poderse producir accesos no autorizados.
- Deben establecerse mecanismos seguros de transferencia de los datos para evitar su interceptación en tránsito.
- Deben analizarse las tasas de falsa aceptación y falsos negativos y, IMPORTANTE, adoptar las garantías adecuadas si se toman decisiones automatizadas en base al sistema de registro de jornada biométrico, como la deducción de parte del salario, entre otras, garantizar la intervención humana o la posibilidad de que el interesado exprese su punto de vista e impugne la decisión.
- Mitigar el riesgo de vinculación de imágenes (en línea) de los interesados.